Una falla de seguridad crítica que afecta a Progress Software WhatsUp Gold está registrando intentos de explotación activos, por lo que es esencial que los usuarios actúen rápidamente para aplicar la versión más reciente.
La vulnerabilidad en cuestión es CVE-2024-4885 (Puntuación CVSS: 9,8), un error de ejecución de código remoto no autenticado que afecta a las versiones de la aplicación de monitoreo de red lanzadas antes de 2023.1.3.
«WhatsUp.ExportUtilities.Export.GetFileWithoutZip permite la ejecución de comandos con privilegios iisapppoolnmconsole», dijo la empresa. dicho en un aviso publicado a fines de junio de 2024.
Según el investigador de seguridad Sina Kheirkhah del Summoning Team, la falla reside en la implementación del método GetFileWithoutZip, que no realiza una validación adecuada de las rutas proporcionadas por el usuario antes de su uso.
Un atacante podría aprovechar este comportamiento para ejecutar código en el contexto de la cuenta de servicio. Kheirkhah ha publicado un exploit de prueba de concepto (PoC).
La Fundación Shadowserver dijo que ha observado intentos de explotación contra la falla desde el 1 de agosto de 2024. «A partir del 1 de agosto, vemos intentos de devolución de llamada de explotación /NmAPI/RecurringReport CVE-2024-4885 (hasta ahora 6 IP de origen)», dijo. dicho en una publicación en X.
La versión 2023.1.3 de WhatsUp Gold soluciona dos fallas más críticas CVE-2024-4883 y CVE-2024-4884 (puntuaciones CVSS: 9,8), las cuales también permiten la ejecución remota de código no autenticado a través de NmApi.exe y Apm.UI.Areas.APM.Controllers.CommunityController, respectivamente.
Progress Software también aborda un problema de escalada de privilegios de alta gravedad (CVE-2024-5009puntuación CVSS: 8,4) que permite a atacantes locales elevar sus privilegios en las instalaciones afectadas aprovechando el método SetAdminPassword.
Dado que los actores de amenazas abusan periódicamente de las fallas en Progress Software con fines maliciosos, es esencial que los administradores apliquen las últimas actualizaciones de seguridad y permitan el tráfico solo desde direcciones IP confiables para mitigar posibles amenazas.